AMNESIA:33 多个TCP/IP开源代码库漏洞通告

• 三六零CERT
• 2020-12-15

报告编号：B6-2020-121501

报告来源：360CERT

报告作者：360CERT

更新日期：2020-12-15

0x01 事件简述

2020年12月15日，360CERT监测发现  Forescout  发布了  AMNESIA:33  的研究报告，事件等级：严重 ，事件评分：9.8 。

AMNESIA:33  是指存在于  4  个开源的TCP/IP开发组件库中的  33  个漏洞。影响  uIP / FNET / picoTCP / Ethernut(Nut/Net)  。

根据  Forescout  发布的通告超过 150 种产品受到这些漏洞的影响。

对此，360CERT建议广大用户及时将  Nut/Net,picoTCP,uIP,FNET  升级到最新版本。与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

0x02 风险等级

360CERT对该事件的评定结果如下

评定方式	等级
威胁等级	严重
影响面	广泛
360CERT评分	9.8

0x03 漏洞详情

CVE-2020-25111: 代码执行漏洞

Nut/Net  在处理DNS请求时存在一处越界写漏洞。

攻击者通过向受影响的设备发送特制请求包，可造成远程代码执行。

CVE-2020-24338: 代码执行漏洞

picoTCP  在处理DNS请求中的域名时，存在一处越界写漏洞。

攻击者通过向受影响的设备发送特制请求包，可造成远程代码执行。

CVE-202024336: 代码执行漏洞

uIP  在处理DNS记录时，因未校验返回包的长度，导致存在一处越界读漏洞。

攻击者通过向受影响的设备发送特制请求包，可造成远程代码执行。

0x04 影响版本

- fnet:fnet : <4.7.0

- micro_ip:uip : <4.6.0

- picotcp:picotcp : 暂无公开版本

- nutnet:nut_net : <5.1

主要受影响的组件如下

- Devolo

- EMU Electronic AG

- FEIG

- Genetec

- Harting

- Hensoldt

- Microchip

- Nanotec

- NT-Ware

- Tagmaster

- Siemens

- Uniflow

- Yanzi Networks

0x05 资产空间测绘数据

360安全大脑-Quake网络空间测绘系统通过对全网资产测绘，根据主要影响组件列表发现  AMNESIA:33  具体分布如下图所示。

0x06 修复建议

通用修补建议

对相关组件进行升级，因为是底层依赖库的问题，使用受到产品的用户需要联系产品厂家提供技术支持。

- FNET : 4.7.0

- uIP : 4.6.0

- picoTCP : 暂无公开版本

- Nut/Net  5.1

0x07 产品侧解决方案

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

0x08 时间线

2020-12-08 Forescout发布通告

2020-12-15 360CERT发布通告

0x09 参考链接

1、 ICS Advisory ICSA-20-343-01

https://us-cert.cisa.gov/ics/advisories/icsa-20-343-01

2、 AMNESIA:33白皮书

https://www.forescout.com/company/resources/amnesia33-identify-and-mitigate-the-risk-from-vulnerabilities-lurking-in-millions-of-iot-ot-and-it-devices/

3、 AMNESIA:33: Researchers Disclose 33 Vulnerabilities Across Four Open Source TCP/IP Libraries

https://zh-cn.tenable.com/blog/amnesia33-researchers-disclose-33-vulnerabilities-tcpip-libraries-uip-fnet-picotcp-nutnet

0x0a 特制报告下载链接

一直以来，360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务，现360CERT正式推出安全通告特制版报告，以便用户做资料留存、传阅研究与查询验证。用户可直接通过以下链接进行特制报告的下载。

AMNESIA:33 多个TCP/IP开源代码库漏洞通告

http://pub-shbt.s3.360.cn/cert-public-file/【360CERT】AMNESIA_33_多个TCP_IP开源代码库漏洞通告.pdf

若有订阅意向与定制需求请扫描下方二维码进行信息填写，或发送邮件至g-cert-report#360.cn ，并附上您的 公司名、姓名、手机号、地区、邮箱地址。

推荐阅读：

1、CVE-2020-26258/26259: XStream 反序列化漏洞通告

2、安全事件周报 (12.07-12.13)

3、安全运营周刊第十九期